終端安全求生指南（四）--安全配置管理

安全配置管理

默認(rèn)的配置是給予最高的可用性和最少的安全性。

鞏固默認(rèn)配置將會(huì)減少許多終端安全事件，此外，任何規(guī)范性的合規(guī)政策首先都有一個(gè)開箱即用的指導(dǎo)，因此這是一個(gè)合理的開始。

安全配置管理準(zhǔn)則：

A、正確的配置會(huì)隨時(shí)間的推移而發(fā)生改變：系統(tǒng)配置的方法有百萬種，安全，高可用，性能的正確組合通常需要有一個(gè)與時(shí)俱進(jìn)的判斷，除非你的標(biāo)準(zhǔn)是合法的且一成不變，不要笑-這是一個(gè)可行性的選擇。

B、針對(duì)終端的安全策略需要進(jìn)行周期性的評(píng)估：即使你已經(jīng)通過不計(jì)其數(shù)的會(huì)議得到了最好的配置，他將變得過時(shí)，當(dāng)業(yè)務(wù)和任務(wù)發(fā)生改變時(shí)，軟件更新時(shí)，或者一個(gè)新的暴露被檢測(cè)到，然后我們需要更新策略來對(duì)抗他們，這是通常是與年度審計(jì)工作相關(guān)結(jié)合的工作，但是當(dāng)重要的業(yè)務(wù)發(fā)生變化時(shí)，這項(xiàng)工作就需要實(shí)時(shí)開展。

C、不必要的服務(wù)和端口是非常危險(xiǎn)的：在軟件發(fā)現(xiàn)的時(shí)候使用應(yīng)用和服務(wù)識(shí)別來開始消減與業(yè)務(wù)無關(guān)的事物，不需要的web服務(wù)器，未經(jīng)授權(quán)的文件分享軟件，媒體播放器和不使用的程序都需要被找出來，然后關(guān)掉他。

D、用戶和他們的訪問：用戶憑證在現(xiàn)今威脅風(fēng)暴當(dāng)中變成了一個(gè)新的目標(biāo)，***頻繁地追蹤可用的賬戶和憑證，但是沒有受到嚴(yán)密的監(jiān)控與積極使用。一旦這些賬戶和憑證變得合法之后，***就可以輕松地逃避檢測(cè)，因?yàn)樗麄兊幕顒?dòng)就是正常業(yè)務(wù)的一部分。***使用多種技術(shù)來盜取雇員的憑證，因此他們可以進(jìn)入公司的系統(tǒng)和網(wǎng)絡(luò)。復(fù)雜的網(wǎng)絡(luò)釣魚活動(dòng)可以欺騙甚至最多疑的用戶在欺詐性網(wǎng)站上輸入他們的憑證，高級(jí)惡意軟件可以讓信息罪犯抓取雇員的憑證當(dāng)他們?cè)谑芨腥镜慕K端上輸入時(shí)，更有甚者，信息犯不需要嘗試通過他們的雇員獲取公司憑證。在第三方站點(diǎn)上重復(fù)使用公司的憑證是非常常見的，因此一些犯罪體集中精力通過社會(huì)工程學(xué)來盜取登陸憑證。要知道這是一個(gè)好的機(jī)會(huì)供給他們進(jìn)入公司的系統(tǒng)。

另一個(gè)擔(dān)憂是內(nèi)部不滿意的員工，當(dāng)雇員離開時(shí)，如果賬戶沒及時(shí)地消除，那么將會(huì)被內(nèi)部人員或者外部演員濫用，舉個(gè)例子，一個(gè)終止合同的不滿意的雇員可以通過遠(yuǎn)程進(jìn)入公司系統(tǒng)將會(huì)產(chǎn)生很多潛在的問題。

BOOT CAMP

1、標(biāo)準(zhǔn)的操作流程：通過標(biāo)準(zhǔn)的流程來加固你的軟件 平臺(tái)和軟件，這個(gè)程序的目標(biāo)是提供一個(gè)枚舉的設(shè)置來讓每個(gè)系統(tǒng)管理員都可以實(shí)施。針對(duì)安全最佳實(shí)踐進(jìn)行程序驗(yàn)證，例如CIS，同樣可以讓你的標(biāo)準(zhǔn)化操作步驟變得更加容易。所有的組織都有例外，CEO可能堅(jiān)持使用MAC或者市場(chǎng)部要求一個(gè)新的編輯軟件，確保所有的例外都需要有一個(gè)標(biāo)準(zhǔn)的配置并且注明所有者和有效期，當(dāng)逾期時(shí)必須重新進(jìn)行評(píng)估與審核。

2、使用安全黃金鏡像：新的系統(tǒng)需要使用包含管理鏡像的標(biāo)準(zhǔn)鏡像，如果系統(tǒng)受到影響，最常用，快速，容易的方法就是替代他通過一個(gè)安全的鏡像，代替花費(fèi)大量時(shí)間去人工修復(fù)終端。確保部署這些系統(tǒng)升級(jí)是合法的，因此這些改變針對(duì)所有者和響應(yīng)者來講是與之相關(guān)的文件留檔。

3、老軟件：一個(gè)最重要的考慮針對(duì)此你的安全態(tài)勢(shì)而言是選擇一個(gè)好的工具和應(yīng)用可以運(yùn)行在你的環(huán)境當(dāng)中，很多的***都采用老的脆弱性（存在于OS或者部署的軟件當(dāng)中），檢查制造商的更新與補(bǔ)丁和老軟件的全部安全須知是非常重要的，確保標(biāo)注出所有的潛在的脆弱性，哪些需要采用補(bǔ)丁之外的其他方法去減輕，選擇一個(gè)套標(biāo)準(zhǔn)的應(yīng)用將同樣讓你可以檢測(cè)異?，F(xiàn)象和未授權(quán)的安裝，在你的日常軟件審計(jì)當(dāng)中。

4、監(jiān)控誰“進(jìn)來”了：管理員和終端賬戶，是可以被用來審計(jì)和創(chuàng)造相關(guān)規(guī)則的，需要認(rèn)真地進(jìn)行監(jiān)控，設(shè)立自動(dòng)化告警來標(biāo)記那些水經(jīng)授權(quán)的賬戶活動(dòng)，設(shè)立策略來要求用戶經(jīng)常改變他的憑證，并且通過不定期的安全意識(shí)訓(xùn)練來訓(xùn)練用戶。

5、使用安全的通信：不加密的通信和憑證可能被***者攔截和再利用，因此確保遠(yuǎn)程協(xié)議采用強(qiáng)加密的，如果強(qiáng)加密針對(duì)應(yīng)用不可用，你可能需要認(rèn)真考慮移除授權(quán)的列表，或者采用其他措施來加固資產(chǎn)。這些包含與之相關(guān)的網(wǎng)絡(luò)和終端，服務(wù)器針對(duì)訪問的強(qiáng)制管理。

ADVANCED TRAINING(監(jiān)控所有事物)

6、監(jiān)控所有改變的事：現(xiàn)在你已經(jīng)清楚地識(shí)別到什么是系統(tǒng)配置的安全基線，這需要查看每一個(gè)資產(chǎn)類型，針對(duì)安全基線監(jiān)控所有系統(tǒng)變更，tripwire enterprise，可確保日常業(yè)務(wù)變更自動(dòng)提升。并且授權(quán)的非常規(guī)業(yè)務(wù)變更是被允許的。

7、監(jiān)控所有事物，包含OT，IIOT設(shè)備是一個(gè)挑戰(zhàn)，因?yàn)?/span>OT硬件經(jīng)常使用私有協(xié)議，告訴你的SCM向量有關(guān)于他們的能力TO動(dòng)作IIOIIOT設(shè)備IOT設(shè)備的監(jiān)視。

8、針對(duì)管理員賬戶進(jìn)行告警：針對(duì)每次使用administrator和root賬戶時(shí)，同樣地自動(dòng)化關(guān)系事件鏈在登陸的地方，登陸系統(tǒng)所做的事等等，監(jiān)控網(wǎng)絡(luò)事件和跟蹤告警當(dāng)偽造的或者黑名單IP被檢測(cè)到的時(shí)候，告警需要發(fā)布，結(jié)合網(wǎng)絡(luò)和系統(tǒng)事件，可能未被授權(quán)和系統(tǒng)破壞。

COMBAT READY

9、綜合分析：將將針對(duì)系統(tǒng)進(jìn)行未授權(quán)變更告警作為事件發(fā)送，并且針對(duì)SIEMs針對(duì)安全事件管理和關(guān)聯(lián)，自動(dòng)化的端口與服務(wù)檢測(cè)，同樣針對(duì)新的用戶。

復(fù)雜、沖突的策略可以應(yīng)用至特別的用戶和終端組合，你同樣可以監(jiān)控RSoP來計(jì)算終端窗口多重設(shè)置帶來的累積影響。RSoP是策略設(shè)置組針對(duì)特殊用戶的影響，無論什么樣的可能，自動(dòng)調(diào)和這些變化，tripwrie log center可以合并日志通過所有的出口點(diǎn)和告警，當(dāng)這些需要直接使用代理，但是未被檢測(cè)的。

tripwire log center可以扮演接收SIEM，日志分析 系統(tǒng) 和事件關(guān)聯(lián)，這這助于節(jié)省開支，當(dāng)轉(zhuǎn)發(fā)至SIEM產(chǎn)品基于大量的數(shù)據(jù)進(jìn)程。